El colapso del gigante: el bot MEV Jaredfromsubway.eth perdió $7,5 millones en un ataque sofisticado

Uno de los bots MEV más famosos y agresivos de la red Ethereum, Jaredfromsubway.eth, fue víctima de un ataque hacker dirigido. Como resultado del incidente, el atacante extrajo activos por un valor superior a los 7,5 millones de dólares. Este caso no es solo un hackeo más, sino una demostración de un nuevo nivel de complejidad en los ataques a sistemas de trading automatizados.
Cómo ocurrió: la trampa en pools falsos
El análisis muestra que el ataque no fue un esquema de phishing típico ni la explotación de una vulnerabilidad en el contrato inteligente del propio bot. En su lugar, el atacante creó decenas de contratos de tokens falsos, hábilmente disfrazados como activos líquidos populares: WETH, USDC y USDT. Estos tokens se integraron en pools de liquidez falsos que simulaban oportunidades comerciales rentables.
El sistema automatizado de Jaredfromsubway.eth, programado para buscar tales oportunidades y ejecutar ataques de sándwich, cayó en la trampa. El bot se vio obligado a otorgar permisos a los contratos auxiliares del atacante para gastar activos reales. Tras obtener la aprobación, el hacker activó todas las puertas traseras preestablecidas en una sola transacción y vació instantáneamente la billetera del bot. Parte de los fondos robados ya se han detectado en el mezclador Tornado Cash, lo que dificulta su rastreo.
Magnitud de la amenaza y consecuencias
Este incidente subraya la vulnerabilidad incluso de los actores más dominantes en el ámbito de MEV. Según mis estimaciones, Jaredfromsubway.eth era tan activo que representaba aproximadamente el 70% de todos los ataques de sándwich en la red Ethereum en los últimos meses. En comparación, el daño anual total a los traders por estas manipulaciones es de unos 60 millones de dólares, y se registraban entre 60 000 y 90 000 de estas operaciones al mes.
Mi análisis: Este ataque es una señal de alarma para todo el sector MEV. Muestra que los atacantes están empezando a usar los propios algoritmos de los bots en su contra, creando "trampas de liquidez". Los propietarios y desarrolladores de bots MEV deben revisar radicalmente la lógica de verificación de pools y contratos para no ser víctimas de su propia automatización. La pérdida de 7,5 millones de dólares para un gigante así es un golpe duro, pero la lección principal para todo el ecosistema es que la confianza en los sistemas automáticos debe estar respaldada por una protección de múltiples capas contra la ingeniería social a nivel de código.